라이브 리스폰스 정의

라이브 리스폰스

라이브 리스폰스는 일단 컴퓨터의 플러그부터 뽑고 하드디스크의 이미지를 복사하던 과거 방식과는 달리 동작하고 있는 컴퓨터로부터 휘발성 정보들을 수집하고 분석하는 것을 목적으로 한다. 휘발성 정보들에는 메모리, 프로세스, 네트워크 연결 정보, 시간과 날짜, 열려있는 파일 목록 등이 속한다.

라이브 리스폰스는 '초기 대응 (First Response)' 또는 '사고 대응(Accident Response)'이라고 불리기도 한다.

라이브 리스폰스란?

전통적인 컴퓨터 포렌식 방법론에는 컴퓨터를 조사하기 전에 우선 전원 플러그를 뽑고 하드 드라이브의 이미지를 복사하는 것이 가장 기본적이고 상식적인 절차였다. 최근에는 컴퓨팅 환경의 변화로 인해 저장 매체의 이미지 복사에 앞서 휘발성 정보(Volatile Data)를 먼저 수집하고 분석하는 쪽으로 방법론이 이동하고 있다. 휘발성 정보에는 시스템 시간, 네트워크 연결 정보, 로그온 사용자 정보, 실행되고 있는 프로세스 정보 등이 있는데, 이런 정보는 모두 컴퓨터가 꺼지고 나면 증벌하는 것처럼 사라지기 때문에 휘발성(Volatile)이라는 이름이 붙게 되었다.

라이브리스폰스는 말 그대로 죽어있는 시스템의 이미지 파일을 조사하는 것이 아니라 살아있는 시스템을 대상으로 해앻지는 일련의 컴퓨터 포렌식 조사과정을 뜻한다. 따라서 죽어있는(꺼져있는) 시스템에서는 이 작업을 수해할 수 없다. 그렇다고 꺼져있는 컴퓨터를 다시 켜는 것은 컴퓨터 포렌식에서 가장 금기로 여기는 일 중하나이기 때문에 혹시라도 사건 현장에 있는 컴퓨터가 꺼졋다고 해서 그것을 다시 켜고 휘발성 정보를 수집하는 일은 없어야 한다. 만약 컴퓨터 부팅 과정을 관찰하고 싶다면 네트워크가 분리된 분석 전용 컴퓨터 혹은 버추얼 머신으로 이미지를 복사한 다음 그것을 이용해 부팅하는 것이 최선의 방법이다.

라이브 리스폰스는 휘발성 정보의 수집만을 의미하는 것은 아니다. 정확하게 말해 라이브 리스폰스는 '살아있는 시스템에서 수집 가능한 모든 정보(휘발성, 비휘발성 정보)의 수집과 분석, 그리고 이를 바탕으로 한 사고의 처리'까지가 담당 범위다.